In diesem Blog geht es um die aktuelle Rechtslage (April 2023) Im Hinblick auf das EU-US Privacy Framework oder ganz praktisch ausgedrückt um zum Beispiel solche Fragen, ob man aus rechtlicher Perspektive personenbezogenen Daten in die USA transportieren darf, Cloud Software von US Unternehmen verwenden darf oder aber personenbezogene Daten in Rechenzentren von US Anbietern verwenden darf.
Kurzform I
Die EU Kommission hat am 13. 12. 2022 einen Entwurf eines Angemessenheitsbeschlusses für die USA veröffentlicht, nach dessen Inhalt die EU-Kommission den USA wieder ein angemessenes Datenschutzniveau nach Artikel 45 DSGV attestiert. Der EDSA (Europäische Datenschutzausschuss) wird eine Stellungnahme zu diesem Angemessenheitsbeschluss abgeben, wobei eine Zustimmung des EDSA aber nicht erforderlich ist. Die Mitgliedstaaten können nach Artikel 45 III S. 4 DSGV Eine Stellungnahme abgeben; es wird aber nicht mit ablehnenden Stimmen gerechnet. Dafür ist die wirtschaftlichen Bedeutung, die die von den USA zur Verfügung gestellte IT für die Volkswirtschaften der EU hat, zu groß. Die Kommission veröffentlicht dann den Angemessenheitsbeschluss im EU- Amtsblatt und damit ist der Beschluss bindendes Recht. Das bedeutet Behörden, Verantwortlichen und nationalen Gerichte sind an die Entscheidung des Angemessenheitsbeschlusses gebunden. Damit entfällt die Gefahr einer Inanspruchnahme durch Behörden dann, wenn man Daten in die USA transferierte, oder solche IT wie Google Cloud, Microsoft 365 nutzte oder aber personenbezogene Daten in Rechenzentren verarbeiten ließ, die z.B. zu den Konzernen von Microsoft, AWS etc. gehören.
Man rechnet jetzt wieder damit, dass die nächsten 4 bis 5 Jahre Ruhe sein soll. Denn natürlich haben schon Bürgerrechtsbewegungen angekündigt, auch diesen Angemessenheitsbeschluss angreifen zu wollen: Bis zu der Entscheidung des BGH werden dann wieder ein paar Jahre vergehen.
Hintergrund
Der Angemessenheitsbeschluss erging zu Dokumenten, die die US Regierung unter Joe Biden im Hinblick auf die Shremps II Entscheidung des EuGH erlassen hat. Diese Entscheidung ist hier lange analysiert worden, sie besagt inhaltlich ganz kurz, dass personenbezogene Daten nicht in die USA exportiert werden dürfen und dass man auch innerhalb der EU keine Dienste von US Unternehmen für IT Dienstleistungen verwenden darf. Begründung: Die USA würden ihren Geheimdiensten nach 9/11 derartig weitgehende Befugnisse einräumen, dass die USA den Anforderung der DSGVO nach der faktischen Gewährung eines angemessenen Datenschutzniveaus nicht genügen würden. Faktisch hätte das das Aus für alle US Dienste bedeutet. In der Praxis ging das schlicht nicht, weshalb die Behörden immer wieder drohten, die Verantwortlichen müssten alle US Dienste auslisten und dürften nur noch andere Dienste verwenden; geschehen ist aber relativ wenig. Die Kinder in BaWü mussten auf Microsoft 365 verzichten. Das Damoklesschwert war immer präsent. Der EuGH hat in der Schremps II Entscheidung ausdrücklich darauf hingewiesen, dass die Behörden die Einhaltung seiner Entscheidung durchzusetzen hätten.
Aus dem Grund hat die US Regierung versucht, den Anforderungen der Schremps II Entscheidung gerecht zu werden. In der juristischen Literatur (ich verschone Sie mit den Einzelheiten) wird kritisiert, dass zwei von drei wesentlichen Kritikpunkten des EuGH überhaupt durch die USA nicht substantiell geändert wurden. Die generell eingeräumte Möglichkeit der Massenüberwachung (erinnern Sie sich bitte an das Stichwort der Rasterfahndung) durch die Geheimdienste und die nach wie vor bestehende Möglichkeit des Ergreifens unverhältnismäßiger Maßnahmen durch die Geheimdienste wird m.E. zu Recht kritisiert. Um den Anforderungen des EuGH gerecht zu werden, müssten die Befugnisse der Geheimdienste in den USA generell anders gefasst sein und das wird nicht passieren. Die USA haben verfolgen eine andere Politik als die EU. Was sich aber relevant geändert hat in der EO 14086 ist die Möglichkeit des Rechtsschutzes gegen Maßnahmen der Geheimdienste. Diese Möglichkeit werde ich im zweiten Teil erörtern.
Teil II
